Neuer Trojaner-Wurm nutzt Windows-Sicherheitslücke - Seite 3

-=[n0t mY daY]=- · 01.10.2002, 12:04

Trojaner-Wurm nutzt Windows-Sicherheitslücke

Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus

Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht.

Der Bugbear-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX und *.OCS sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem kopiert sich der Wurm über ein Netzwerk in den Autostart-Ordner der angeschlossenen Rechner, um sich so innerhalb eines lokalen Netzwerkes zu verbreiten. Schließlich trägt sich der Wurm in die Registry ein, damit der Schädling bei jedem Systemstart aktviert wird.

Der in Visual C geschriebene Wurm ist UPX-gepackt und versendet infizierte E-Mails mit wechselndem englischsprachigem Betreff, Nachrichtentext und Dateinamen-Anhang, was eine Identifizierung des Wurms erschwert. Der eigentliche Wurm-Code steckt in einem 50.688 Byte großen Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Dateiendung, wobei der zweite Teil auf .EXE, .SCR oder .PIF endet. Zudem kann es passieren, dass sich der Wurm an eine vordefinierte E-Mail-Adresse versendet.

Sobald der Wurm aktiviert wurde, öffnet er den TCP-Port 36794 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die als PWS-Hooker.dll identifiziert wurde und auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 36794 erlaubt es einem Angreifer, beliebigen Programmcode auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon viele andere Würmer macht sich auch der Bugbear-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit 1,5 Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner somit infiziert wird.

Zahlreiche Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear-Wurm erkennen und unschädlich machen können. Man sollte sich also zügig aktuelle Virensignaturen des eingesetzten Virenscanners besorgen. Der Wurm-Befall beschränkt sich auf Windows-Systeme; MacOS und Linux sind nicht davon betroffen.

ich hoff es is kein HOAX

01.10.2002, 12:04	#1
-=[n0t mY daY]=- Onklifiziert Registriert seit: 18.11.2000 Ort: Mondsee Alter: 39 Beiträge: 2.566	Neuer Trojaner-Wurm nutzt Windows-Sicherheitslücke Trojaner-Wurm nutzt Windows-Sicherheitslücke Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht. Der Bugbear-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen .MMF, .NCH, .MBX, .EML, .TBB, .DBX und *.OCS sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem kopiert sich der Wurm über ein Netzwerk in den Autostart-Ordner der angeschlossenen Rechner, um sich so innerhalb eines lokalen Netzwerkes zu verbreiten. Schließlich trägt sich der Wurm in die Registry ein, damit der Schädling bei jedem Systemstart aktviert wird. Der in Visual C geschriebene Wurm ist UPX-gepackt und versendet infizierte E-Mails mit wechselndem englischsprachigem Betreff, Nachrichtentext und Dateinamen-Anhang, was eine Identifizierung des Wurms erschwert. Der eigentliche Wurm-Code steckt in einem 50.688 Byte großen Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Dateiendung, wobei der zweite Teil auf .EXE, .SCR oder .PIF endet. Zudem kann es passieren, dass sich der Wurm an eine vordefinierte E-Mail-Adresse versendet. Sobald der Wurm aktiviert wurde, öffnet er den TCP-Port 36794 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die als PWS-Hooker.dll identifiziert wurde und auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 36794 erlaubt es einem Angreifer, beliebigen Programmcode auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen. Wie schon viele andere Würmer macht sich auch der Bugbear-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit 1,5 Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner somit infiziert wird. Zahlreiche Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear-Wurm erkennen und unschädlich machen können. Man sollte sich also zügig aktuelle Virensignaturen des eingesetzten Virenscanners besorgen. Der Wurm-Befall beschränkt sich auf Windows-Systeme; MacOS und Linux sind nicht davon betroffen. ich hoff es is kein HOAX ____________________________________ Laß’ es zu, daß die Zeit sich um Dich kümmert Hör mir zu, und mach es nicht noch schlimmer Denn es gibt ’nen neuen Morgen ’nen neuen Tag, ein neues Jahr Der Schmerz hat Dich belogen Nichts ist für immer da...

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)